Escolar Documentos
Profissional Documentos
Cultura Documentos
SALESIANA.
Sede Matriz Cuenca.
Facultad de Ingenieras.
Carrera de Ingeniera De Sistemas.
TEMA:
Diseo de un Manual de Polticas de
Seguridad para el Laboratorio de Internet
de la Universidad Politcnica Salesiana Sede
Cuenca, basado en el Estndar ISO 17799.
AUTORES:
CUENCA ECUADOR.
2007.
(f)__________________
Ing. Miguel ngel Ziga P.
(f)_______________________
Maria del Carmen Vsquez C.
INDICE
CAPITULO I
Plan de Tesis
1. Objetivos
1.1. Objetivo general
1.2. Objetivos especficos
2
2
2
2. Introduccin
3. Antecedentes
4. Justificacin
CAPITULO II
Conceptos de Polticas de Seguridad
1. Definicin
1.1. Definiciones del trmino Poltica de Seguridad
1.2. Nuestra definicin del trmino Poltica de Seguridad
2. Definicin de una Poltica de Seguridad
2.1. Anlisis de Riesgos
2.1.1. Procedimiento del Anlisis de Riesgo
a. Descripcin y Anlisis de la Situacin Actual
b. Identificacin de activos
c. Tasacin de los activos
d. Definicin de Factores de riesgos y asignacin de
probabilidades
e. Descripcin de consecuencias y medidas existente
f .Clculo de niveles de vulnerabilidad
g. Conclusiones
3. Seleccin de Estndar de Normalizacin
3.1. Estndares de Normalizacin
3.1.1. RFC 2196
3.1.2. BS7799
7
7
8
9
9
9
10
10
11
11
11
12
12
13
13
13
15
16
17
CAPITULO III
Estndar ISO 17799
1. Introduccin
20
20
3. Secciones
21
22
22
22
23
23
24
25
25
27
27
28
CAPITULO IV
Diseo del Plan de Seguridad
1. Alcances
30
30
31
46
46
46
49
49
50
51
51
52
56
56
57
58
58
59
59
60
61
62
63
65
74
82
83
85
CAPITULO V
Manual de polticas de seguridad para el Laboratorio de Internet de la
Universidad Politcnica Salesiana Sede Cuenca
1. Definicin
88
2. Propsito
88
3. A quienes va dirigido
3.1. Usuarios
3.2. Personal Encargado del Laboratorio de Internet
89
4. Polticas de Seguridad
4.1. Dirigido a los Usuarios del Laboratorio de Internet
4.2. Dirigido al personal Encargado del Laboratorio de Internet
90
CONCLUSIONES Y RECOMENDACIONES
Conclusiones
Recomendaciones
89
89
90
91
96
96
97
BIBLIOGRAFA
Bibliografa
100
GLOSARIO
Glosario
102
ANEXOS
Anexos
105
CAPITULO I
Plan de Tesis.
1. Objetivos.
1.1 Objetivo general.
Disear un Manual de Poltica de Seguridad para el Laboratorio de Internet de la
Universidad Politcnica Salesiana Sede Cuenca, basado en el estndar ISO
17799.
2. Introduccin.
En la actualidad las organizaciones que trabajan con cualquier tipo de entorno
informtico, ya sean desde pequeas empresas, hasta grandes organizaciones de
mbito internacional, se ven en la necesidad de preocuparse de su seguridad.
Sin lugar a dudas una de las herramientas que con el pasar del tiempo se ha
convertido en una necesidad de la mayora de organizaciones es la Internet. La
posibilidad de utilizar esta tecnologa, ha permitido abrir nuevos horizontes a las
empresas para mejorar su productividad pero al mismo tiempo ha trado consigo, la
aparicin de riesgos provocando as la necesidad de considerar la POLITICA DE
SEGURIDAD.
El diseo de las polticas puede estar orientado a diferentes audiencias, en cuyo caso
es necesario redactar documentos diferentes de acuerdo al tipo de audiencia.
3. Antecedentes.
En estos ltimos aos con el gran auge que han adquirido las redes y las
Telecomunicaciones, el termino Seguridad Informtica ha adquirido mayor
relevancia en nuestro entorno, y mucho mas cuando se trata del acceso a Internet, lo
cual ha generado polmica debido a que tanto su acceso como el negarse al mismo
causa severos inconvenientes para las empresas. Este problema se agudiza mucho
mas si se trata de instituciones educativas en donde no se puede concebir el no
acceder al Internet, las razones son obvias, Internet, desarrollo e investigacin van de
la mano, y actualmente imprescindibles en el da a da de las Instituciones
Universitarias.
4. Justificacin.
La Universidad Politcnica Salesiana, a travs del Laboratorio de Internet presta un
servicio de vital importancia a los estudiantes y docentes ya que a travs del mismo
se dispone de una fuente de investigacin y consulta tan necesaria para el
cumplimiento de sus tareas acadmicas, el cual se ve amenazado por el mal uso que
hacen algunos estudiantes.
laboratorio de Internet.
CAPITULO II
Conceptos de Polticas de Seguridad.
1. Definicin.
1.1 Definiciones del trmino Poltica de Seguridad.
Una poltica de la seguridad es una declaracin formal de las reglas que deben
ser seguidas por las personas que acceden a la tecnologa y los activos de
informacin de la organizacin. 1
RFC 2196.
ISO.
1
2
Una poltica de la seguridad es una declaracin formal de las reglas con las
cuales se da acceso a las personas a la tecnologa, al sistema y a los activos de
informacin de una organizacin. La poltica de seguridad define qu negocio y
metas de seguridad y objetivos de administracin desea la gerencia, pero no
cmo se dirigen y se ponen en ejecucin estas soluciones.3
Sun BluePrints.
1.2
b. Identificacin de activos.
Un activo de informacin, es un componente o parte de un sistema total, al cual
la organizacin directamente le asigna valor, y por ende la organizacin requiere
su proteccin.
10
11
Probabilidad de ocurrencia.
Nivel de vulnerabilidad.
g. Conclusiones.
Finalmente a partir de las actividades anteriormente descriptas se puede evaluar
la situacin actual de la empresa en relacin a los incidentes que pueden
afectarla, identificando cuales son los activos que estn en mayor riego y que por
lo tanto merecen mayor atencin y control.
12
Estndares de Normalizacin.
RFC 2196
BS7799
ISO 17799
3.1.1
RFC 2196.
es un manual se
13
a. Polticas de Seguridad
2. Firewalls.
1. Autentificacin
2. Confidencialidad.
3. Integridad.
4. Autorizacin.
5. Acceso
6. Auditoria
14
2. Identificando un Incidente
3. Gestin de un Incidente
4. Consecuencias de un Incidente
5. Responsabilidades.
3.1.2
BS7799
Este estndar fue publicado por primera vez en 1995 por el British Standards
Institute (BSI), y titula Code of practice for information security
management (Cdigo de practicas para la administracin de la seguridad de
la informacin) , y fue escrito por el United Kingdom Government's
Department of Trade and Industry (DTI) del Reino Unido, esta se convertira
tan solo la Primera Parte del BS 7799, ya que despus de 4 aos, en 1999, una
segunda parte del BS 7799 fue publicada por el BSI, titulada como
"Information Security Management Systems - Specification with guidance for
use". Y aos ms tarde, en el 2005, una tercera parte de este estndar era
divulgada, esta publicacin basa sobre el tema del anlisis y administracin
de Riesgos.
a.
Polticas de Seguridad.
15
b.
Seguridad de la Organizacin.
c.
d.
Personal de Seguridad.
e.
f.
g.
Control de acceso.
h.
i.
3.1.3
ISO 17799
16
los
principales
principios
de
la
seguridad
informtica:
3.2
Seleccin.
Para realizar la seleccin del estndar mas adecuado para nuestro proyecto
establecemos esta tabla comparativa:
Parmetros
RFC 2196
BS7799
ISO 17799
Contenidos
Polticas de Seguridad
Si
Si
Si
Administracin de Activos
No
Si
Si
Categora
Manual
Estndar
Estndar
Fecha de Publicacin
1997
1995
2005
Internet
British
Engineering Standards
Task Force
Institute
(IETF)
(BSI)
Cuadro 1.1
17
International
Organization
for
Standardization
(ISO)
18
"
"
# "
"
#
19
CAPITULO III
Estndar ISO/IEC 17799.
1. Introduccin
La Norma Internacional ISO/IEC 17799 fue elaborada por el British Standards
Institution (como BS 7799), y fue adoptada por el procedimiento especial de "fasttrack"7, por el Comit Tcnico conjunto ISO/IEC JTC 1, Tecnologa de la
Informacin, en paralelo con la aprobacin de los organismos nacionales miembros
de ISO y CEI.
Esta norma fue publicada en Diciembre del ao 2000 y fue aceptado como estndar
en el ao 2001.
20
3. Secciones
El estndar BS ISO/IEC 17799 posee 10 secciones:
i. Poltica de Seguridad
x. Conformidad
21
22
medios
23
[]
10
24
[]
11
25
1) robo;
2) incendio;
3) explosivos;
4) humo;
[]
[]
en
lugares
prximos,
tanto
vertical
como
12
26
13
27
15
28
29
&
"
CAPITULO IV
Diseo del Plan de Seguridad.
1. Alcances.
El alcance de este Plan de Seguridad se encuentra enfocado al Laboratorio de
Internet de la Universidad Politcnica Salesiana Sede Cuenca, y en el servicio de
acceso a Internet que este presta a los usuarios, en los aspectos que consideramos
ms relevantes del mbito fsico y lgico, en funcin del anlisis previamente
realizado.
30
Disco Duro 60 GB
Caractersticas de Software
WinRar 3.62.
IExplorer 7.
Mozilla 2.0.
Tipo 1 (10)
Pentium IV
Disco Duro 60 GB
Tipo 2 (20)
Disco Duro 60 GB
32
Caractersticas de Software
CiberPuesto 4.0.
WinRar 3.62.
IExplorer 7.
Mozilla 2.0.
33
Contrafuegos (Firewall)
Esta funcin hace posible gestionar las reglas del firewall definidas por el
usuario y revisar las reglas que se cumplen. Para el Laboratorio de Internet en
la maquina administrador del FSecure se configuran las siguientes reglas:
Trfico
Accin
Permitir
Permitir
Permitir
Negar y Alertar
Negar
Negar
Negar el resto
Cuadro 4.1
Control de aplicaciones
Este software permite ver, modificar o aadir permisos para que una
aplicacin pueda enviar y recibir trfico de red. En el Laboratorio de Internet
solo se permite el trfico para las siguientes aplicaciones:
Aplicacin
Archivo
Acrobat.exe
AcroRd32.exe
ADOBEU~1.EXE
acad.exe
agent.exe
java.exe
javaw.exe
JRE-1_~1.EXE
LabVIEW.exe
Ad-Aware.exe
Director.exe
DREAMW~1.EXE
FIREWO~1.EXE
GetFlash.exe
Flash.exe
iexplore.exe
EXCEL.EXE
OUTLOOK.EXE
POWERPNT.EXE
WINPROJ.EXE
VISIO.EXE
WINWORD.EXE
msimn.exe
mspaint.exe
wordpad.exe
NEROST~1.EXE
NEROST~1.EXE
tnsping.exe
perl.exe
putty.exe
QUICKT~1.EXE
Acrobat Reader
Acrobat Reader
Adobe Update Manager
AutoCAD.
Cyberlink Power VCR
Java Sun Microsystems.
Java Sun Microsystems.
Java Sun Microsystems.
LabView
Lavasoft Ad-Aware
Macromedia Director
Macromedia Dreamweaver.
Macromedia Fireworks
Macromedia Flash Player Updater
Macromedia Flash.
Microsoft Internet Explorer.
Microsoft Office Excel.
Microsoft Office Outlook.
Microsoft Office PowerPoint.
Microsoft Office Project.
Microsoft Office Visio.
Microsoft Office Word.
Microsoft Outlook Express.
Microsoft Paint.
Microsoft WordPad.
Nero StartSmart
Nero StartSmart
Oracle
Perl
Putty
QuickTime
35
Radmin Viewer
RoLegent
Servidor Web Apache
SICAL
SQLTools
Telnet
Utilidad TCP/IP
WinSCP3
WinSCP3
WinZip.
WS_FTP Pro Application
radmin.exe
rol.exe
Apache.exe
Asistencia.exe
SQLTools.exe
telnet.exe
ping.exe
WinSCP3.exe
WINSCP~1.EXE
winzip32.exe
wsftppro.exe
Cuadro 4.2
36
CiberControl 4.0
Tiene las siguientes caractersticas:
CiberPuesto 4.0
Aviso visual de fin de tiempo.
Cableado estructurado
o Canaletas de Plstico.
38
Cableado Elctrico
o Canaletas de Plstico.
o Cable elctrico.
La topologa del
o Procesadores: MPC8260
Servidor Antivirus
o Software
o Hardware
Memoria RAM 2 GB
40
Disco Duro 80 GB
Servidor Proxy.
o Software
o Hardware
Memoria RAM 2 GB
Disco Duro 80 GB
Router TELCONET.
41
Protocolos: Manejo protocolos IP, Unicast, EIGRP, OSPF, BGP sobre los
tneles, no incluye manejo de Broadcast exceptuando el de IP, Multicast,
IPX, NetBios Broadcast, SNA
Enrutamiento: IP Privadas
Streaming
42
Nivel de capa 2
43
2.1.1
Mantenimiento.
Mantenimiento Fsico:
Formato de equipos
Lubricacin de ventiladores
Limpian de equipos
Limpieza de disqueteras
Mantenimiento Lgico
En periodos de entre 15 das y una semana se revisa los informes de antivirus
(virus detectados, archivos contaminados por virus que no han podido ser
reparados), se realiza una eliminacin de archivos (documentos que son
almacenados por los usuarios) y limpieza de disqueteras.
46
47
48
Estrategias Fsicas
Colocacin de amarras que sujeten los cables que se conectan al CPU
(incluidos cables de red) con el fin de evitar su substraccin.
49
Internet para tratar de ofrecer un mejor control sobre los usuarios y los
equipos de computo, ya que antes estaba ubicada en otra oficina.
Estrategias Lgicas
A travs de configuraciones del Sistema Operativo con el comando
gpedit.msc, ya que mediante el cual se impide:
50
Administrativa
Acceso Lgico
Continuidad de Operaciones
Seguridad Fsica
51
SI NO
COMENTARIOS
Se cuenta con un reglamento interno
procedimientos de seguridad
Se Disponen de un inventario
de software y hardware?
actualmente.
6 y 7 caracteres.
maquina administrador es
6 y 7 caracteres.
adecuada?
Las contraseas se almacenan
la conocen?
Coordinador y el Laboratorista.
52
automticamente y diariamente.
se lo realiza manualmente o
automticamente?
Existe algn reglamento que
establezca la periodicidad de
cambios de contrasea y su
longitud mnimo?
Se realiza un control de acceso
para el servicio de Internet? Que
lectores de carn)
Se conoci que cada fin de ciclo se
Se revisa y se da mantenimiento
a este inventario?
informacin el inventario.
Se da un mantenimiento a los
equipos?
Se permite el acceso al Panel de
Control?
Eso se comprob mediante
sistema operativo?
Laboratorio.
de Internet?
ISP.
53
CONTINUIDAD DE
OPERACIONES
Existen procedimientos de
Control.
acceso a Internet.
funcionar?
un sistema de respaldos?
instalaciones de la Universidad y
demora un tiempo aproximado de 2
horas en ponerse en marcha.
SEGURIDAD FSICA
En algunos casos se solicita la
presentacin de un documento de
identificacin.
autorizados?
Internet.
Se dispone de mecanismos de
guardias de seguridad?
seguridad.
54
dispone de contraseas?
Coordinador y el Laboratorista.
Si. Los cables cruzan a travs de
cableado estructurado?
tumbado)
breakers se encuentran
usuarios no autorizados.
protegidos?
El suministro de energa
elctrica es estable?
es deficiente.
de Pico.
computadoras?
Existe proteccin para el
cableado elctrico?
Hay controles de seguridad
Laboratorio.
Laboratorio?
cuarto de Comunicaciones?
Existen dispositivos de
ventilacin en el cuarto de
Comunicaciones?
Existen extintores de fuego,
detectores de humo en el cuarto
de Comunicaciones?
Existen dispositivos de
55
ventilacin en el laboratorio de
Internet?
Existen extintores de fuego,
detectores de humo en el
laboratorio de Internet?
No es posible, solo en caso de que se
Robo de equipos
de Sede.
Cuadro 4.3
56
Otro punto en nuestro anlisis es que no existe un registro de los estudiantes que
utilizan el servicio de Internet, esta informacin es de gran importancia para tener
un correcto control de los activos ya que esto nos va a permitir conocer quienes
son los estudiantes que hicieron uso de los servicios del Laboratorio y cuando,
conocimiento sin el cual es imposible establecer responsabilidades en caso de
incidentes como perdidas de partes de equipos o daos sobre los mismos.
Las contraseas que se manejan tienen una longitud de 6 a 7 caracteres pero para
una mayor robustez se aconseja tener como mnimo 8 caracteres, adems no
existe una constancia fsica de las contraseas y de su periodicidad de cambio.
Otro factor que atenta contra la seguridad es la ausencia de licencias del software
instalado en el Laboratorio.
57
momento del da. Adems se conoci que en horas pico el ancho de banda se
reduce perjudicando el rendimiento del servicio.
Otra medida de seguridad del lado del ISP consiste en la disposicin de un router
alterno para la conexin a Internet en caso de fallo.
58
vigilar lo que sucede dentro del Laboratorio y de que existen guardias que
recorren las inmediaciones de los Laboratorios.
3.
16
17
59
3.1.1
18
60
3.1.1.1
Activos de Informacin
Activos de Software
Activos fsicos
61
Servicios
Acceso a Internet.
Administradores del Laboratorio,
Personas
Laboratorista y Asistentes.
Usuarios.
Cuadro 4.4
Activo
Documentacin de
hardware y software
(Inventario), Logs y
Configuraciones de
equipos (Ciber
Control), Reglamento.
Sistema Operativo,
Software de Control
(Ciber Control),
Aplicaciones (Office,
62
Impacto
3
4
5
6
7
8
Utilitarios) y
Antivirus.
Equipos de Computo.
Cableado Estructurado
y Switch DLink.
Cableado Elctrico,
Caja de Breakers,
Supresores de Pico.
Pasarela Cisco y
Router Telconet
Acceso a Internet.
Administradores del
Laboratorio,
Laboratoristas y
Asistentes
8
9
8
10
10
8
Cuadro 4.5
3.3
Alta
Media
Baja
Factores de Riesgo
Acceso no autorizado a datos documentacin de
HW y SW, logs del sistema y reglamentos.
Datos del inventario no estn disponibles cuando
son necesarios.
63
Probabilidad
1
3
2
3
2
Antivirus desactualizado.
Contagio de Virus
Fluctuaciones de voltaje
Interferencias Electromagnticas
1
3
2
2
3
64
conectada a Internet.
Abandono de la maquina administrador del
Laboratorio, desde donde se permite el acceso
lgico a Internet.
Fuente: Las autoras.
3.4
Cuadro 4.6
65
Activo: Documentacin de hardware y software (Inventario), Logs y Configuraciones de equipos (Ciber Control), Reglamento.
Consecuencia
Se
Protege?
Divulgacin, robo o
modificacin de la informacin.
si
Entorpecimiento/ Falencias
en/de la administracin.
Inconsistencia de la informacin
con el HW y SW que se dispone.
Factores de Riesgo
Cuadro 4.7
66
Como
Es efectiva?
Media
no
si
Baja
Revisin y actualizacin de
inventarios cada fin de ciclo.
Media
Activo: Sistema Operativo, Software de Control (Ciber Control), Aplicaciones (Office, Utilitarios) y Antivirus.
Factores de Riesgo
Borrado y/ modificacin de archivos
del S.O. o de las aplicaciones.
Acceso a opcin de agregar o quitar
programas del Panel de Control del
S.O.
Se
Protege?
Consecuencia
Dao y Inestabilidad del
software.
no
Modificacin/ Borrado de
Programas
si
no
Antivirus desactualizado.
Incremento de la probabilidad de
contraer virus.
Virus
Inestabilidad y mal
funcionamiento del S.O y de las
aplicaciones.
Cuadro 4.8
67
si
si
Como
Es efectiva?
Baja
Media
Baja
Se permite al antivirus
conectarse a Internet para
que se actualic
automticamente.
Con el Antivirus FSecure
que permite tambin la
restriccin del trafico
(firewall)
Alta
Alta
Baja
Se
Protege?
si
Consecuencia
Dao en los equipos.
Interrupcin de su funcionamiento y
disminucin de la capacidad del
laboratorio para brindar su servicio.
si
Deterioro de equipos
si
Cuadro 4.9
68
Como
Se cuenta con supresores de Pico
Control de acceso lgico y
vigilancia del Personal del
Laboratorio.
Se realizan mantenimientos
generales cada fin de ciclo y en
periodos de 1 a dos semanas
Vigilancia del Personal del
Laboratorio, Sensores de
movimiento y Guardias de
Seguridad de la UPS
Es efectiva?
Alta
Baja
Media
Media
Consecuencia
Se
Protege?
Ancho de banda
insuficiente
si
Interferencias
Electromagnticas
si
Dao, corte de
cableado estructurado.
si
Como
Tecnologa UTP cat 6 y ISP con Velocidad:
256Kbps de Descarga y 128 kbps de subida
(Telconet).
El Laboratorio cuenta con un tendido
separado para el cableado estructurado y el
cableado elctrico, adems los mismos se
encuentran recubiertos con canaletas de
plstico.
El cableado estructurado se encuentra
protegido con canaletas de plstico.
Cuadro 4.10
69
Es efectiva?
Alta
Alta
Media
Factores de Riesgo
Consecuencia
Ubicacin inadecuada
y ausencia de
proteccin fsica para
la caja de breakers y
supresores de pico.
no
Dao, corte de
cableado elctrico.
Fallas en el suministro de
energa elctrica del
Laboratorio
si
Como
Es efectiva?
Baja
70
Media
Consecuencia
Se
Protege?
Como
Es efectiva?
Robo o modificacin de la
informacin.
si
Alta
si
Alta
si
Media
Cuadro 4.12
71
Se Protege?
Perdida de productividad en el
uso de Internet.
si
Media
Acceso no autorizado al
servicio de Internet.
si
Media
Ausencia de registros de
usuarios y tiempos de uso.
no
si
Lentitud en el servicio de
acceso a Internet.
Mal uso del servicio de
Internet.
Como
Es
efectiva?
Factores de Riesgo
Baja
Existe el software Ciber Control que permite
bloquear PCs al momento de devolver la
carne previamente solicitada al estudiante.
Media
no
Baja
no
Baja
Cuadro 4.13
72
Consecuencia
Administracin impropia de
responsabilidades y roles del personal del
Laboratorio.
Inadecuada delegacin
de funciones para el
personal.
Se Protege?
si
Distraccin de los
asistentes del
Laboratorios.
Indisponibilidad del
Servicio para los
usuarios y ausencia de
vigilancia interna.
Cuadro 4.14
73
Como
Existe un Reglamento interno
donde se especifica las funciones
de parte del personal del
Laboratorio.
Es
efectiva?
Baja
no
Baja
no
Baja
3.5
El Calculo del nivel de vulnerabilidad nos sirve para comprender en que medida cada
uno de los activos identificados es mas propenso a ser amenazado, y a travs de esto
conocer cuales son los activos menos seguros y que por ende se encuentran en mayor
riesgo. A continuacin se calculan los niveles de vulnerabilidad (o niveles de riesgo)
en los que incurre cada activo arriba mencionado. Para esto se tiene en cuenta el
nivel de importancia asignado a cada uno y la probabilidad de ocurrencia de estos
riesgos. Para realizar dicho clculo se desarrollaron las siguientes operaciones:
Probabilidad de ocurrencia: representan la probabilidad de que ocurran los factores
de riesgo mencionados, en una escala del 1 al 3. Esta probabilidad fue evaluada
teniendo en cuenta las medidas de seguridad existentes en la organizacin.
Porcentaje de la probabilidad del riesgo: se calcula el porcentaje de probabilidad de
que ocurra un determinado factor de riesgo, con respecto a la cantidad de factores de
riesgo intervinientes para dicho activo. Esto es debido a que cada activo est afectado
por un nmero diferente de riesgos posibles, de manera que este clculo sirve para
obtener un porcentaje de probabilidades equilibrado por igual para cualquier activo,
independientemente de la cantidad de factores de riesgo que lo afectan.
Nivel de vulnerabilidad: en este momento interviene el nivel de importancia,
multiplicando al porcentaje de probabilidad del riesgo. De esta forma se obtiene el
nivel de vulnerabilidad de cada activo con respecto a un factor de riesgo. La suma de
estos valores es el nivel de vulnerabilidad total que corresponde a cada activo.
74
Rango
1-10
B-M-A
%
N
Activo
Nivel de
Importancia
Factor de Riesgo
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
Documentacin de
hardware y software
documentacin.
(Inventario), Logs y
Configuraciones de equipos
(Ciber Control),
Reglamento
de inventarios.
33,33
66,67
66,67
133,33
66,67
133,33
333,33
Cuadro 4.15
75
Rango
1-10
B-M-A
%
N
Activo
Nivel de
Factor de Riesgo
Importancia
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
Borrado y/ modificacin de archivos
del S.O. o de las aplicaciones.
Sistema Operativo,
Control), Aplicaciones
50,00
400,00
33,33
266,67
S.O.
(Office, Utilitarios) y
50,00
400,00
Antivirus.
Antivirus desactualizado.
16,67
133,33
Contagio de Virus
16,67
133,33
50,00
400,00
1733,33
Cuadro 4.16
76
Rango
1-10
B-M-A
%
N
Activo
Nivel de
Factor de Riesgo
Importancia
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
Fluctuaciones de voltaje
Mal uso y/o destruccin de equipos de
3
Equipos de Computo.
computo
Mal mantenimiento de los equipos de
computo
Robo de equipos o sus partes.
50,00
400,00
50,00
400,00
25,00
200,00
50,00
400,00
1400,00
Cuadro 4.17
77
Rango
1-10
B-M-A
%
N
Activo
Nivel de
Importancia
Factor de Riesgo
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
4
Cableado Estructurado y
Switch DLink.
de Breakers, Supresores de
33,33
300,00
Interferencias Electromagnticas
33,33
300,00
33,33
300,00
900,00
Pico.
Cantidad de factores de riesgo =
150,00
1200,00
50,00
400,00
1600,00
Cuadro 4.18
78
Rango
1-10
B-M-A
%
N
Activo
Nivel de
Importancia
Factor de Riesgo
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
Acceso no autorizado al cuarto de
comunicaciones
6
10
33,33
300,00
33,33
300,00
33,33
300,00
900,00
Cuadro 4.19
79
Rango
1-10
B-M-A
Nivel de
Prob. de
Activo
Factor de Riesgo
Importancia
Vulnerabilidad
500,00
33,33
333,33
33,33
333,33
50,00
500,00
50,00
500,00
50,00
500,00
Riesgos
Nivel de
50,00
Acceso a Internet.
de
Ocurrencia
% Prob.
2666,67
Cuadro 4.20
80
Rango
1-10
B-M-A
%
N
Activo
Nivel de
Importancia
Factor de Riesgo
Prob. de
Prob.
Nivel de
Ocurrencia
de
Vulnerabilidad
Riesgos
Administracin impropia de
responsabilidades y roles del personal
Laboratorio, Laboratoristas
66,67
533,33
100,00
800,00
66,67
533,33
del Laboratorio.
Administradores del
8
y Asistentes
1866,67
Cuadro 4.21
81
3.6
Nivel de Vulnerabilidad.
Nivel de
Vulnerabilidad
Activos
Imp.
333,33
2,924
900
7,895
900
7,895
3 Equipos de Computo.
1400
12,28
1600
14,04
1733,33
15,2
1866,67
16,37
2666,67
23,39
11400
100
5
2
8
7 Acceso a Internet.
Cuadro 4.22
82
3.7
Anlisis de Importancias.
100 %
10 puntos de importancia
Imp. x Dif. de %
? (= Diferencia de importancia)
83
Activos
Nivel de
Vulnerabilidad
Importancia
Actual
Dif. de
Dif.
Importancia
de Imp.
Ideal
333,33
2,92
3,28
-0,35
-0,07
1,93
900
7,89
13,11
-5,22
-4,18
3,82
900
7,89
13,11
-5,22
-4,18
3,82
3 Equipos de Computo.
1400
12,28
14,75
-2,47
-2,23
6,77
1600
14,04
13,11
0,92
0,74
8,74
1733,33
15,20
10
16,39
-1,19
-1,19
8,81
1866,67
16,37
10
16,39
-0,02
-0,02
9,98
2666,67
23,39
9,84
13,56
8,13
14,13
11400
100
61
100
0,00
-2,99
58,01
7 Acceso a Internet.
Cuadro 4.23
84
3.8
Conclusiones.
Los resultados de nuestros anlisis de riesgos nos demuestran cuales son los
activos que deberan ser considerados como ms importantes en funcin de nivel
de riesgo que poseen, es decir considerando que estos activos estn en mayor
peligro que el resto de los activos analizados, y en funcin de este parmetro la
importancia ideal de los activos es la siguiente:
Importancia Importancia
Activos
Actual
Ideal
14,13
10
9,98
10
8,81
8,74
3 Equipos de Computo.
6,77
3,82
3,82
1,93
7 Acceso a Internet.
8
Cuadro 4.24
85
Adems con este anlisis podemos conocer cuales son los activos a los que no se
les da la importancia que merecen en funcin de los riesgos que poseen, es decir
que a estos activos actualmente no se les esta prestando la atencin que
requieren, estos activos son:
Activos.
Diferencia de Imp.
Acceso a Internet.
13,56
0,92
Cuadro 4.25
86
&
'
&
!
"
87
CAPITULO V
Manual de polticas de seguridad para el Laboratorio de Internet de la
Universidad Politcnica Salesiana Sede Cuenca.
1. Definicin
Una poltica de seguridad es una manifestacin clara y precisa de lo que esta
permitido y de lo que no esta permitido realizar dentro de sistema informtico,
plasmado en un documento con un orden y una sistematizacin.
2. Propsito
Este manual tiene como objetivo presentar de manera sencilla y clara que es lo que se
debe y lo que no se puede para garantizar la Seguridad en el Laboratorio de Internet
y esta dirigido tanto a los Usuarios como a el Personal que administra y trabaja el
Laboratorio de Internet de la Universidad Politcnica Salesiana sede Cuenca.
88
3. A quienes va dirigido
Este Manual de Poltica de Seguridad va dirigido:
3.1 Usuarios
Se considera como usuario del laboratorio de Internet a cualquier estudiante o
docente de la Universidad Politcnica Salesiana, que requiera al acceso a este
servicio.
3.2
El Laboratorista
89
4. Polticas de Seguridad.
4.1
Polit 1.
Polit 2.
Polit 3.
Polit 4.
Polit 5.
Polit 6.
Polit 7.
90
Polit 8.
Polit 9.
Polit 10. Es obligacin de los usuarios solicitar su carnet o cdula una vez
que dejen de hacer uso del equipo, ya sea porque el tempo
asignado expiro o porque ya no desean seguirlo utilizando.
Polit 11. Por el bien de los equipos, se prohbe el ingreso al Laboratorio de
Internet con alimentos y bebidas, as como el fumar en l.
Polit 12. Es obligacin de los usuarios reportar inmediatamente cualquier
anomala en el funcionamiento del equipo o programas a los
encargados del Laboratorio de Internet.
Polit 13. Queda restringido para los usuarios del laboratorio, permanecer
como espectadores en el laboratorio y/o estar ms de dos persona
por mquina.
Polit 14. Una vez asignado un equipo al usuario, este es responsable del
equipo durante el tiempo que permanece en su poder.
91
disponible
en
todo
momento
para
dar soporte
92
Polit 24. Sin excepcin, el software anti virus ser instalado en todas las PCs
del laboratorio de Internet y actualizado diariamente.
Polit 25. El
personal
del
laboratorio
de
Internet
debe
establecer
93
94
5. Recomendaciones
En base al anlisis realizado (Cfr. Supra)
El cableado estructurado debe ser separado del cableado elctrico para evitar
interferencias electromagnticas.
95
'
96
CONCLUSIONES
Las Polticas de Seguridad son una manifestacin clara y precisa de lo que esta
permitido o no esta permitido realizar en una organizacin y son la base sobre la cual
se levanta toda estrategia de seguridad, y aunque para cualquier organizacin su
implementacin ser un gran desafi, no se puede concebir la Seguridad Informtica
sin su verdadera aplicacin en el da a da de las organizaciones.
La elaboracin de este proyecto constituy para las autoras un gran ret ya que es
difcil establecer criterios para juzgar el trabajo realizado por el personal del
Laboratorio, pero se lo hizo a travs de un autentico anlisis sobre la realidad del
Laboratorio de Internet.
97
Este trabajo contribuyo en nuestra formacin acadmica ya que nos sirvi para
apreciar la magnitud de la importancia de la Seguridad Informtica y su significado
en la actualidad a travs del conocimiento de normas internacionales como el
estndar ISO 17799 una gua de buenas prcticas de seguridad informtica que
presenta una extensa serie de controles de seguridad y que hacen posible su
aplicacin tanto en una organizacin grande como en una pequea ya que esta basada
en la realidad de la seguridad informtica.
98
BIBLIOGRAFA
99
GLOSARIO
100
mtodo
de
accin
que
ha
sido
seleccionado
101
ANEXOS
Policy 020104
Managing Network Access Controls
POLICY
Access to the resources on the network must be strictly controlled to prevent
unauthorised access. Access to all computing and information systems and
peripherals shall be restricted unless explicitly authorised.
Traduccin
El acceso a la informacin y los documentos deben ser controlados cuidadosamente,
para lo cual solo el personal autorizado pueden tener el acceso a la informacin
sensible
102
Policy 020105
Controlling Access to Operating System Software
POLICY
Access to operating system commands is to be restricted to those persons who are
authorised to perform systems administration / management functions. Even then,
such access must be operated under dual control requiring the specific approval of
senior management.
Traduccin
El acceso a los controles del sistema operativo ser restringido a esas personas que
estn autorizadas para realizar la administracin de los sistemas / las funciones de
direccin.
Policy 020106
Managing Passwords
POLICY
The selection of passwords, their use and management as a primary means to
control access to systems is to strictly adhere to best practice guidelines. In
particular, passwords shall not be shared with any other person for any reason.
103
Traduccin
La seleccin de contraseas, su uso y administracin como un medio principal de
control de acceso a los sistemas deben ser practicados bajo estrictas pautas. Es decir,
no se compartirn las contraseas con ninguna persona por ninguna razn.
9.3.1
Password use
9.5.2
9.5.3
9.5.4
Policy 020109
Monitoring System Access and Use
POLICY
Access is to be logged and monitored to identify potential misuse of systems or
information.
104
Traduccin
El acceso ser registrado y se supervisado para identificar el mal uso de los sistemas
o informacin.
Policy 050206
Installing and Maintaining Network Cabling
POLICY
Network cabling should be installed and maintained by qualified engineers to
ensure the integrity of both the cabling and the wall mounted sockets. Any unused
network wall sockets should be sealed-off and their status formally noted.
Traduccin
El cableado de red debe ser instalado y mantenido por los ingenieros calificados
para asegurar la integridad tanto de los cables como los conectores de la pared.
Cualquier conector sin usarse debe ser sellado
Cabling security
105
Policy 050405
Moving Hardware from One Location to Another
POLICY
Any movement of hardware between the organisation's locations is to be strictly
controlled by authorised personnel.
Traduccin
Cualquier cambio de lugar de hardware entre las diferentes localidades de la
organizacin deben ser estrictamente controladas por el personal autorizado
Equipment security
Policy 050601
Managing and Using Hardware Documentation
POLICY
Hardware documentation must be kept up-to-date and readily available to the
staff who are authorised to support or maintain systems.
106
Traduccin
La documentacin del hardware debe estar disponible al personal autorizado para
dar soporte y mantenimiento a los sistemas.
Policy 050602
Maintaining a Hardware Inventory or Register
POLICY
A formal Hardware Inventory of all equipment is to be maintained and kept up to
date at all times.
Traduccin
Un Inventario del Hardware oficial de todos los equipos debe ser mantenido y
guardarse actualizado en todo momento.
Inventory of assets
107
Policy 050709
Maintaining Hardware (On-site or Off-site Support)
POLICY
All equipment owned, leased or licensed by the organisation must be supported by
appropriate maintenance facilities from qualified engineers.
Traduccin
"Todo los equipos propios, arrendados o licenciados por la organizacin deben ser
mantenidos apropiadamente por ingenieros calificados."
Equipment maintenance
Policy 050711
Cleaning of Keyboards and Screens
POLICY
Only suitable and approved cleaning materials are to be used on equipment
owned by the organisation.
108
Traduccin
Slo materiales de limpieza apropiados sern usados sobre el equipo posedo por el
organizacin
Equipment maintenance
Policy 050712
Damage to Equipment
POLICY
Deliberate or accidental damage to organisation property must be reported to the
nominated Information Security Officer as soon as it is noticed.
Traduccin
El dao deliberado o accidental a una propiedad de la organizacin debe informar al
Encargado de Seguridad
Equipment maintenance
8.4.3
Fault logging
109
Policy 060108
Handling Hoax Virus Warnings
POLICY
"Procedures to deal with hoax virus warnings are to be implemented and
maintained."
Traduccin
Los procedimientos para tratar con las amenazas de virus sern llevados a cabo y se
mantendrn
8.3.1
Policy 060109
Defending Against Virus Attacks
POLICY
"Without exception, Anti Virus software is to be deployed across all PCs with
regular virus definition updates and scanning across both servers, PCs and laptop
computers."
110
Traduccin
Sin excepcin, el software Anti Virus ser instalado en todas las PCs con sus
respectivas actualizaciones al da y examinando por ambos servidores, PCs y
computadoras porttiles
111